SóProvas

ID
2827750
Banca
IADES
Órgão
APEX Brasil
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Análise crítica do sistema de gestão de segurança da informação (SGSI) pela direção deve ser realizada em intervalados planejados. A respeito dessa análise, assinale a alternativa correta.

Alternativas
Comentários

  •  a) Essa análise crítica pela direção pode ser feita uma vez a cada cinco anos.

     b) Essa análise crítica visa assegurar a contínua pertinência, adequação e eficácia do SGSI.

     c) Uma das entradas dessa análise é a melhoria de como a eficácia dos controles está sendo medida.

     d) Uma das saídas dessa análise crítica é a situação das ações preventivas e corretivas.

     e) Os resultados da eficácia das medições são saídas dessa análise crítica.

     

    7 Análise crítica do SGSI pela direção

     

    7.1 Geral
    A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência, adequação e eficácia. Esta análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da informação e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente documentados e os registros devem ser mantidos

      

    7.2 Entradas para a análise crítica
    As entradas para a análise crítica pela direção devem incluir:
    a) resultados de auditorias do SGSI e análises críticas;
    b) realimentação das partes interessadas;
    c) técnicas, produtos ou procedimentos que podem ser usados na organização para melhorar o desempenho e a
    eficácia do SGSI ;
    d) situação das ações preventivas e corretivas;
    e) vulnerabilidades ou ameaças não contempladas adequadamente nas análises/avaliações de risco anteriores;
    f) resultados da eficácia das medições ;
    g) acompanhamento das ações oriundas de análises críticas anteriores pela direção;
    h) quaisquer mudanças que possam afetar o SGSI; e
    i) recomendações para melhoria.

     
    7.3 Saídas da análise crítica
    As saídas da análise crítica pela direção devem incluir quaisquer decisões e ações relacionadas a:
    a) Melhoria da eficácia do SGSI.
    b) Atualização da análise/avaliação de riscos e do plano de tratamento de riscos.
    c) Modificação de procedimentos e controles que afetem a segurança da informação, quando necessário, para
    responder a eventos internos ou externos que possam impactar no SGSI, incluindo mudanças de:
    1) requisitos de negócio;
    2) requisitos de segurança da informação;
    3) processos de negócio que afetem os requisitos de negócio existentes;
    4) requisitos legais ou regulamentares;
    5) obrigações contratuais; e
    6) níveis de riscos e/ou critérios de aceitação de riscos.
    d) Necessidade de recursos.
    e) Melhoria de como a eficácia dos controles está sendo medida.
      

    Fonte: ABNT NBR ISO/IEC 27001:2006